Löschanspruch

Die DS-GVO hat die Position Betroffener gestärkt und ihnen eine Reihe von verschiedenen Rechten eingeräumt. Eines davon ist der Löschanspruch, der besagt, dass betroffene Personen verlangen dürfen, dass ihre personenbezogenen Daten gelöscht werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Löschersuchen.

Form und Voraussetzungen des Löschanspruchs

Formelle Anforderungen an Löschersuchen selbst gibt es nicht. Allerdings muss für das Bestehen eines Löschanspruchs ein Löschgrund vorliegen und es darf keine Ausnahmeregelung greifen. Machen betroffene Personen ihren Löschanspruch geltend, führt dies deshalb nicht automatisch zu einer Löschpflicht. Vielmehr sind Unternehmen verpflichtet, das Bestehen des Löschanspruchs zu prüfen und abhängig vom Ergebnis dieser Prüfung der betroffenen Person zu antworten. Beim aktiv geltend gemachten Löschanspruch müssen Unternehmen deshalb einerseits den Anspruchsteller eindeutig identifizieren und andererseits das Vorliegen eines Löschgrunds prüfen.
Löschgründe gem. Art. 17 Abs. 1 lit. a–f DS-GVO sind:

  1. Zweckwegfall
  2. Widerruf der Einwilligung und keine andere Rechtsgrundlage
  3. Widerspruch nach Art 21 DS-GVO und kein überwiegendes berechtigtes Interesse
  4. unrechtmäßige Datenverarbeitung
  5. Löschung zur Erfüllung einer rechtlichen Pflicht notwendig
  6. Sonderfall: Dienste von Informationsgesellschaften

Liegt einer dieser Gründe vor, müssen Verantwortliche die Daten des Betroffenen fristgerecht löschen, es sein denn, es greift eine der folgenden Ausnahmen des Art. 17 Abs. 3 lit. a–e DS-GVO:

  1. Ausübung des Rechts zur freien Meinungsäußerung
  2. Daten zur Erfüllung einer gesetzl. Pflicht oder Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich
  3. Sonderfall: Gesundheitsdaten im öffentlichen Interesse
  4. Sonderfall: Archiv- und Forschungszwecke
  5. Geltendmachung von Rechten oder Abwehr von Ansprüchen

Die im Arbeitsalltag wohl am häufigsten zutreffende Ausnahme ist die Erfüllung einer gesetzlichen Pflicht. Hierzu zählen nämlich auch gesetzliche Aufbewahrungspflichten (z. B. aus dem Handelsrecht und dem Arbeitsrecht).

Greift eine der genannten Ausnahmen, besteht kein Löschanspruch. Dem Betroffenen gegenüber muss als Antwort auf sein Löschersuchen allerdings mitgeteilt werden, warum zurzeit kein Löschanspruch besteht, und ggf., wann seine Daten gelöscht werden.

Bearbeitung von Löschersuchen

Wie auch bei den übrigen Betroffenenrechten werden an die Bearbeitung von Löschansprüchen strenge Vorgaben gestellt. Generell gilt, dass Unternehmen nur einen Monat Zeit haben, um auf Betroffenenanfragen zu reagieren und die geltend gemachten Betroffenenrechte zu erfüllen. Hierzu gehört auch die Identifikation der jeweiligen Person und die Prüfung, ob das geltend gemachte Recht überhaupt besteht. In diesem Fall heißt das, es muss geprüft werden, ob ein Löschgrund vorliegt und ob eine der Ausnahmen greift. Zudem muss die Bearbeitung ordnungsgemäß dokumentiert werden, um der Rechenschaftspflicht nachzukommen und etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörde beantworten zu können.

Daneben müssen Unternehmen aber auch sicherstellen, dass in ihren Prozessen grundsätzlich Löschfristen definiert und entsprechende Löschprozesse implementiert sind. Die DS-GVO verpflichtet Unternehmen nämlich nicht nur im Rahmen von aktiv geltend gemachten Löschersuchen zur Löschung personenbezogener Daten, sondern sie verbietet ihnen auch grundsätzlich, personenbezogene Daten länger als notwendig zu speichern. Personenbezogene Daten müssen deshalb auch dann gelöscht werden, wenn die betroffene Person dies nicht ausdrücklich verlangt.